RU1815641C - Device for test and reconfiguration of redundant system - Google Patents
Device for test and reconfiguration of redundant systemInfo
- Publication number
- RU1815641C RU1815641C SU4886698A RU1815641C RU 1815641 C RU1815641 C RU 1815641C SU 4886698 A SU4886698 A SU 4886698A RU 1815641 C RU1815641 C RU 1815641C
- Authority
- RU
- Russia
- Prior art keywords
- output
- input
- trigger
- decoder
- inputs
- Prior art date
Links
Landscapes
- Hardware Redundancy (AREA)
Abstract
Использование: в цифровых отказоустойчивых структурах. Сущность: устройство содержит: 2 резервируемых ЭВМ (1. 2), 1 мультиплексор (3), 2 регистра данных (4, 5), 1 выходной регистр (6), 3 схемы сравнени (7, 8, 9). 4 1-триггера(11. 12,13, 14). 2 D-триг- гера (16, 17), 1 триггер повтора (15), 1 IK- триггер(Ю), 1 дешифратор (18), 1 элемент И Usage: in digital fault tolerant structures. SUBSTANCE: device contains: 2 reserved computers (1. 2), 1 multiplexer (3), 2 data registers (4, 5), 1 output register (6), 3 comparison circuits (7, 8, 9). 4 1-flip-flops (11. 12,13, 14). 2 D-trigger (16, 17), 1 repeat trigger (15), 1 IK-trigger (U), 1 decoder (18), 1 AND element
Description
Изобретение относитс к цифровой вычислительной технике и автоматике и может быть использовано при построении отказоустойчивых и гарантоспособных вычислительных систем, защищенных от ошибок, вызванных физическими дефектами и дефектами проектировани , на основе однотипных или разнообразных вычислителей, в которых возможно решение задач по нескольким альтернативным верси м.The invention relates to digital computing and automation, and can be used in the construction of fault-tolerant and guaranteeable computing systems, protected from errors caused by physical and design defects, on the basis of the same type or various calculators, in which it is possible to solve problems in several alternative versions.
Целью изобретени вл етс повышение надежности устройства.The aim of the invention is to increase the reliability of the device.
На фиг. 1 представлена функциональна схема устройства дл контрол и реконфигурации; на фиг.2 - таблица соответстви функционировани дешифратора: на фиг.ЗIn FIG. 1 is a functional diagram of a device for monitoring and reconfiguration; figure 2 is a table of correspondence of the functioning of the decoder: in figure 3
- временна диаграмма работы устройства. Обозначени соответствуют фиг. 1; на фиг. 4- time diagram of the device. The designations correspond to FIG. 1; in FIG. 4
- варианты реализации триггера повтора.- Replay trigger options.
На фиг. 1 использованы следующие обозначени : 1,2 - перва и втора резервируемые ЭВМ, 3 - мультиплексор, 4, 5 - первый и второй регистры данных, б - выходной регистр, 7-9 - перва - треть схемы сравнени , 10 - 1К-триггер, 11-14 - первый-чет- вертым 1-тригерры, 15 - триггер повтора, 16-17 - первый, второй D-триггеры, 18 - дешифратор, 19 - элемент И, 20-24 - пер- вый-п тый элементы ИЛИ, 25 - одновибра- тор, 26 (27) - выходы отказ первого (второго) канала устройства, 28 - отказ системы устройства, 29 - выход сбой системы контрол устройства, 30 - выход сбой канала устройства, 31 - выход данных устройства, 32 - вход синхронизации устройства, 33 - выход повторный счет устройства, 34 - информационный вход устройства .In FIG. 1 the following notation is used: 1,2 - the first and second redundant computers, 3 - the multiplexer, 4, 5 - the first and second data registers, b - the output register, 7-9 - the first - the third comparison circuit, 10 - 1K-trigger, 11-14 - first-fourth 1-triggers, 15 - repeat trigger, 16-17 - first, second D-triggers, 18 - decoder, 19 - AND element, 20-24 - first-fifth elements OR 25 - one-shot, 26 (27) - outputs failure of the first (second) channel of the device, 28 - failure of the device system, 29 - output failure of the device control system, 30 - output failure of the device channel, 31 - device data output , 32 - synchronization input of the device, 33 - output re-count of the device, 34 - information input of the device.
Информационные входы устройства соединены с информационными входами 34.1 и 34.2 первой 1 и второй 2 резервируемых ЭВМ, выходы которых соединены с первым и вторым информационными входами мультиплексора , с первым и вторым входами первой схемы сравнени 7, первым входом второй 8 и первым входом третьей 9 схем сравнени , информационными входами первого 4 и второго 5 регистров данных соответственно , пр мой выход первой схемы сравнени 7 соединен с первым входом дешифратора 18 и D- входом триггера повтора 15, инверсный выход которого соединен с первым и входами логических условий резервируемых ЭВМ 1, 2 и V-входом дешифратора 18 и выходом 33 повторный счет устройства, инверсный выход первого элемента сравнени 7 соединен с V-входамиThe information inputs of the device are connected to the information inputs 34.1 and 34.2 of the first 1 and second 2 redundant computers, the outputs of which are connected to the first and second information inputs of the multiplexer, with the first and second inputs of the first comparison circuit 7, the first input of the second 8 and the first input of the third 9 comparison circuits , information inputs of the first 4 and second 5 data registers, respectively, the direct output of the first comparison circuit 7 is connected to the first input of the decoder 18 and the D-input of the trigger trigger 15, the inverse output of which is connected to the first and the inputs of the logical conditions of the reserved computer 1, 2 and the V-input of the decoder 18 and the output 33 are a repeated count of the device, the inverse output of the first element of comparison 7 is connected to the V-inputs
первого 4 и второго 5 регистров данных, выходы которых соединены соответственно со вторыми входами второй 8 и третьей 9 схем сравнени , выходы которых соединены с третьим и вторым входами дешифратора 18, первый выход которого соединен с 1входом первого 1-триггера 11, выход которого соединен с первым входом первого элемента ИЛИ20, выход которого вл етс the first 4 and second 5 data registers, the outputs of which are connected respectively to the second inputs of the second 8 and third 9 comparison circuits, the outputs of which are connected to the third and second inputs of the decoder 18, the first output of which is connected to the 1 input of the first 1-trigger 11, the output of which is connected to the first input of the first element OR20, the output of which is
выходом 27 Отказ системы устройства, второй выход дешифратора 18 соединен с первым входом второго элемента ИЛИ21, выход которого соединен с D-входом первого D-триггера 16, выход которого вл етс the output 27 is a failure of the device system, the second output of the decoder 18 is connected to the first input of the second element OR21, the output of which is connected to the D-input of the first D-trigger 16, the output of which is
выходом 30 сбой канала устройства, третий выход дешифратора 18 соединен с первым входом третьего элемента ИЛИ22 и I-входом второго 1-триггера 12, выход которого , вл сь выходом 26 отказ первогоthe output 30 is a failure of the channel of the device, the third output of the decoder 18 is connected to the first input of the third element OR 22 and the I-input of the second 1-trigger 12, the output of which, if output 26 is the failure of the first
канала устройства, соединен с первым входом элемента И19, первым входом четвертого элемента ИЛИ23 и вторым входом третьего элемента ИЛИ22, выход которого соединен с адресным входом мультиплексора 3, выход которого соединен с информационным входом выходного регистра 6, выход которого соединен с выходом 31 данных устройства, четвертый выход дешифратора 18 соединен со вторым входом второгоthe channel of the device is connected to the first input of the element And19, the first input of the fourth element OR23 and the second input of the third element OR22, the output of which is connected to the address input of the multiplexer 3, the output of which is connected to the information input of the output register 6, the output of which is connected to the output 31 of the device data, the fourth output of the decoder 18 is connected to the second input of the second
элемента ИЛИ21. п тый выход дешифратора 18 соединен с I-входом третьего 1-триггера 13, выход которого, вл сь выходом 27 отказ второго канала устройства соединен со вторым входом четвертого элементаelement OR 21. the fifth output of the decoder 18 is connected to the I-input of the third 1-trigger 13, the output of which, being the output 27, the failure of the second channel of the device is connected to the second input of the fourth element
ИЛИ23 и вторым входом элемента И19, выход которого соединен со вторым входом первого элемента ИЛИ20, шестой выход дешифратора 18 соединен с третьим входом второго элемента ИЛИ21, седьмой выходOR23 and the second input of the element AND19, the output of which is connected to the second input of the first element OR20, the sixth output of the decoder 18 is connected to the third input of the second element OR21, the seventh output
дешифратора 18 соединен с I-входом четвертого 1-триггера 14, выход которого.соединен с третьим входом первого элемента ИЛИ20, восьмой выход дешифратора соединен с D-входом второго D-триггера 17,the decoder 18 is connected to the I-input of the fourth 1-trigger 14, the output of which is connected to the third input of the first element OR20, the eighth output of the decoder is connected to the D-input of the second D-trigger 17,
выход которого соединен с выходом 29 сбой системы контрол устройства, вход 32 синхронизации устройства соединен с синхровходами первого 4 и второго 5 регистров данных, выходного регистра 6, IK- триггера 10, первого 11 - четвертого 1 1-триггеров, триггера повтора 15, первого 16, второго 17 D.-триггеров и входом прерываний первого 1 и второго 2 резервируемых блоков, выход четвертого элемента ИЛИ23the output of which is connected to the output 29 of the device control system failure, the device synchronization input 32 is connected to the sync inputs of the first 4 and second 5 data registers, output register 6, IK-trigger 10, first 11 - fourth 1 1-triggers, repeat trigger 15, first 16 , the second 17 D.-flip-flops and the interrupt input of the first 1 and second 2 of the reserved blocks, the output of the fourth element OR
соединен с первым входом п того элемента ИЛИ24, с управл ющим V-входом триггера повтора 15, а через одновибрэтор 25 с установочным S-входом триггера повтора 15,connected to the first input of the fifth element OR24, with the control V-input of the trigger of retry 15, and through a single vibrator 25 with the installation S-input of the trigger of retry 15,
кроме того, инверсный выход первого элемента сравнени 7 соединен со вторым входом п того элемента ИЛИ 24, выход которого соединен с 1,К-входами 1,К-тригге- ра 10, выход которого соединен со вторыми входами логических условий первого 1 и второго 2 резервируемых блоков.in addition, the inverse output of the first element of comparison 7 is connected to the second input of the fifth element OR 24, the output of which is connected to 1, K-inputs 1, K-trigger 10, the output of which is connected to the second inputs of the logical conditions of the first 1 and second 2 redundant blocks.
Перва 1 и втора 2 аппаратно идентичные резервируемые ЭВМ предназначены дл вычислени задачи (пакета задач) с жестким периодом счета не более Т, либо дл циклического решени одной задачи с посто нно обновл емыми данными (например , в системе управлени летательного аппарата. Кроме того, задача (задачи) вычисл ютс по двум различным программным верси м (по две в каждом канале, всего четыре), причем врем решени по каждой из них врем счета составл ет не более Т. Если за это врем задача не решена, то така ситуаци равноценна отказу. Кроме того, решаютс также задачи, которые допускают повторный счет (временна избыточность - один цикл). Необходимость повторного счета определ ет единичный потенциал, подаваемый на первый вход логических условий каналов.The first 1 and second 2 hardware-identical redundant computers are designed to calculate a task (task package) with a hard counting period of not more than T, or to cyclically solve one problem with constantly updated data (for example, in an aircraft control system. In addition, the task (tasks) are calculated according to two different software versions (two in each channel, four in total), and the decision time for each of them counts no more than T. If during this time the problem is not solved, then this situation is equivalent to failure Chrome that are solved as tasks which permit repeated account (temporal redundancy - one cycle). The need for double counting unit determines the potential supplied to the first input of the logical channel conditions.
По какой из программных версий будет осуществл тьс решение задачи определ ет сигнал., подаваемый на второй вход логических условий каналов, толчком к началу решени очередной задачи служит сигнал, подаваемый на вход ожидани событи блока (назовем этот вход-входом прерывани ).According to which of the software versions the problem will be solved, the signal determines. Applied to the second input of the logical conditions of the channels, the signal to the input for waiting for the event of the block serves as an impetus to the start of solving the next problem (we will call this input the interrupt input).
Така резервируема ЭВМ может быть реализована, например, с использованием микропроцессора К1816ВЕ48. В этом случае входы логических условий могут быть реализованы программно-аппаратным способом с использованием программы INPKEY, Вход прерываний может быть организован с помощью подпрограммы ожидани HUNT. Т.о. решение очередной задачи заканчиваетс выставлением данных на шину данных и сохранением их до конца решени очередной задачи (что может быть реализовано и с использованием внешних регистров, например, МБР К589ИР12, а затем переходом к подпрограмме ожидани HUNT. Решение очередной задачи начинаетс с приходом соответствующего сигнала на соответствующий разр д порта ввода микропроцессора (например, может использоватьс в программе HUNT инверсный сигнал входа 2 синхронизации устройства), причем длительность этого сигнала должна быть больше , чем врем одного цикла обработкиSuch a redundant computer can be implemented, for example, using the K1816BE48 microprocessor. In this case, the inputs of logical conditions can be implemented in hardware and software using the INPKEY program. The interrupt input can be organized using the HUNT wait routine. T.O. the solution to the next task ends by putting the data on the data bus and storing it until the end of the next task (which can be implemented using external registers, for example, ICBM K589IR12, and then by switching to the HUNT waiting routine. The solution to the next task begins with the arrival of the corresponding signal on the corresponding bit of the input port of the microprocessor (for example, the inverse signal of the synchronization input 2 of the device can be used in the HUNT program), and the duration of this signal should be longer than the time of one processing cycle
00
55
00
55
00
55
00
55
00
55
программы HUNT. При тактовой частоте б МГц это 15 мкс. После того, как программа словила разрешение на начало решени задачи, начинаетс отработка программы, котора в ходе своей реализации опрашивает два других разр да входного порта, которые представл ют собой первый и второй входы логических условий, определ повторить ли решение задачи (либо решение со стороны старыми данными) или перейти к очередной задаче (либо ввести новые данные ).HUNT programs. At a clock frequency of b MHz it is 15 μs. After the program caught the permission to start solving the problem, the program begins, which, during its implementation, polls the other two bits of the input port, which are the first and second inputs of the logical conditions, to determine whether to repeat the solution to the problem (or the solution from old data) or go to the next task (or enter new data).
Мультиплексор 3 предназначен дл коммутации на вход выходного регистра данных с выхода того или иного каналов.The multiplexer 3 is intended for switching to the input of the output data register from the output of one or another channel.
Регистры данных 4 и 5, а также схем сравнени 8 и 9 предназначены дл сравнени данных, полученных в первом канале при первом и втором просчете задачи и аналогично во втором канале соответственно.Data registers 4 and 5, as well as comparison circuits 8 and 9, are intended for comparing data received in the first channel during the first and second calculation of the problem and similarly in the second channel, respectively.
Перва схема сравнени 7 предназначена дл межканального сравнени данных.The first comparison circuit 7 is for cross-channel data comparison.
Триггер повтора 15 предназначен дл работы в режиме записи (V 0) с целью фиксации несовпадени данных на выходах каналов после первого просчета и организации повторного просчета этой же задачи в случае, когда ни один из каналов не был признан отказавшим. Если же один из каналов признаетс отказавшим, то триггер с помощью четвертого элемента ИЛИ23 и од- новибратора 25 переводитс в счетный режим (V 11). игнориру данные на своем D-входе. Пример реализации такого триггера изображен на фиг.4.Repeat trigger 15 is designed to operate in recording mode (V 0) with the aim of fixing data mismatch at the channel outputs after the first calculation and organizing a repeated calculation of the same task in the event that none of the channels was recognized as failed. If one of the channels is recognized as failed, then the trigger using the fourth element OR23 and one-shot 25 is transferred to the counting mode (V 11). I will ignore the data on my D-input. An example of the implementation of such a trigger is shown in figure 4.
1,К-триггер 10 предназначен дл управлени вторым входом логических условий резервируемых блоков, который определ ет , по какой программной версии будет решатьс задача.1, K-flip-flop 10 is designed to control the second input of the logical conditions of the reserved units, which determines which software version will solve the problem.
Первый 11 - четвертый 14 1-триггеры и первый 16, второй 17 D-триггеры редааз- начены дл фиксации того или иного состо ни устройства в зависимости от результатов сравнени данных.The first 11 is the fourth 14 1-flip-flops and the first 16, second 17 D-flip-flops are red-triggered to fix this or that state of the device depending on the results of data comparison.
Дешифратор 18 по результатам сравнени данных после второго просчета задачи определ ет состо ние устройства.The decoder 18, based on the results of data comparison after the second calculation of the task, determines the state of the device.
Элементы И 19 и ИЛИ 20 предназначены дл определени такого состо ни устройства , когда данные, записанные в выходном регистре 6, не вл ютс достоверными .The elements AND 19 and OR 20 are designed to determine such a state of the device when the data recorded in the output register 6 are not reliable.
Элемент ИЛИ21 предназначен дл объединени сигналов, свидетельствующих о том, что произошел сбой в одном из каналов .The OR21 element is designed to combine signals indicative of a failure in one of the channels.
Элемент ИЛИ 22 предназначен дл управлени мультиплексором 3.The OR element 22 is for controlling the multiplexer 3.
Элемент ИЛИ23 и одновибратор 24 предназначены дл организации управлени счетчиком 15.The OR23 element and the one-shot 24 are designed to control the counter 15.
Устройство работает следующим образом ,The device operates as follows,
Считаем, что перва ЭВМ 1 может решать (просчитывать) каждую задачу по двум программным верси м А и Б, а второй канал - 8 и Г, причем, если на первых входах логических условий находитс нулевой потенциал , то в работе версии А и В соответственно , если единица, то В и Г. Толчком к началу решени очередной задачи после окончани решени предыдущей служит импульс , поступающий на входы прерывани каналов, причем в зависимости от того, какой потенциал на втором входе логических условий микроЭВМ, может быть начато решение очередной задачи (если на этом входе нуль) либо повторное решение предыдущей (если на этом входе единица).We believe that the first computer 1 can solve (calculate) each problem in two program versions A and B, and the second channel - 8 and G, and if the potential is at the first inputs of the logical conditions, then version A and B work, respectively if it is one, then B and G. The impetus to the beginning of solving the next problem after the completion of the previous solution is the pulse that goes to the channel interrupt inputs, depending on what potential at the second input of the logical conditions of the microcomputer, the next task can be started ( if at ohm input zero) or re-solving the previous one (if there is one on this input).
Итак, в исходном состо нии во всех регистрах записаны нули, на выходах шин данных блоков 1, 2 (каналов) - нули, все триггеры обнулены, триггер повтора 15 находитс в единичном состо нии. По первому тактовому импульсу, поступившему со входа 32 синхронизации устройства, в триггер повтора 15 запишетс единица, не изменив его состо ни , а перва 1 и втора 2 ЭВМ начнут решение первой задачи. К моменту прихода очередного тактового импульса (см.фиг.3) оба канала заканчивают решение задачи и выставл ют на своих шинах данных данные, причем это не об зательно происходит одновременно (см.фиг.3), поэтому возможно и несовпадение данных на выходах каналов, о чем будет говорить нулевой потенциал на пр мом выходе первой схемы сравнени 7. Однако, этот нуль всегда исчезнет в случае безошибочного решени задачи к моменту прихода очередного тактового импульса. Если это так. то по заднему фронту этого импульса данные с шины данных первого канала запишутс в выходной.регистр 6. поступа тем самым на выход 31 данных устройства. На А-вход мультиплексора 3 при этом поступает нулевой потенциал, на всех выходах дешифратора 18 нули. т.к. на его V-входе - нуль (см.фиг.2), а триггер 12 также в нуле.So, in the initial state, zeros are recorded in all the registers, zeros are recorded on the data bus outputs of blocks 1, 2 (channels), all triggers are reset, the retry trigger 15 is in the single state. According to the first clock pulse received from the synchronization input 32 of the device, a unit is written to the retry trigger 15 without changing its state, and the first 1 and second 2 computers will begin to solve the first problem. By the time of the arrival of the next clock pulse (see Fig. 3), both channels complete the solution of the problem and put data on their data buses, and this does not necessarily occur simultaneously (see Fig. 3), therefore, data mismatch at the channel outputs is possible as indicated by the zero potential at the direct output of the first comparison circuit 7. However, this zero will always disappear if the problem is correctly solved by the time of the arrival of the next clock pulse. If it is true. then, on the trailing edge of this pulse, the data from the data bus of the first channel is recorded in the output. Register 6. thereby arriving at the output 31 of the device data. At the same time, the zero input potential arrives at the A input of multiplexer 3, and there are zeros at all outputs of the decoder 18. because at its V input is zero (see Fig. 2), and trigger 12 is also at zero.
Этот же импульс, поступив на входы прерывани обоих каналов, инициировал решение очередной задачи по тем же А и В программным верси м, ведь на первых входах логических условий - нуль (триггер 15The same impulse, arriving at the interrupt inputs of both channels, initiated the solution of the next problem for the same A and B software versions, because at the first inputs of the logical conditions it is zero (trigger 15
00
55
00
55
00
55
00
55
00
55
по-прежнему в единице), поступающий с инверсного выхода триггера повтора 15, а на вторых входах - триггер 10 свое состо ние не измен л.as before, in the unit) coming from the inverse output of the retry trigger 15, and at the second inputs the trigger 10 has not changed its state.
Однако, если к приходу очередного тактового импульса на пр мом выходе первой схемы сравнени 7 единица не по вилась, это значит, что в одном из каналов (или в обоих) что-то произошло. В этом случае единица по вл етс на инверсном выходе первой схемы, разреша запись в регистры 4, 5 данных, что и происходит по заднему фронту этого же импульса. Кроме того, эта единица через элемент ИЛИ24 поступает на 1,К-входы триггера 10, и последний по заднему фронту этого же импульса переходит в нулевое состо ние (см.фиг.З). Этот же импульс запишет в триггер повтора 15 нуль, поступающий на его D-вход. Кроме того, этот же импульс вновь инициирует решение задачи обоими блоками 1, 2. Данным, которые записаны в регистр 6, не довер ют, так как на выходе 33 повторный счет находитс единица.However, if a unit did not appear at the arrival of the next clock pulse at the direct output of the first comparison circuit 7, this means that something happened in one of the channels (or both). In this case, the unit appears at the inverse output of the first circuit, allowing writing to the data registers 4, 5, which occurs at the trailing edge of the same pulse. In addition, this unit through the OR24 element enters the 1, K-inputs of trigger 10, and the last one goes to the zero state along the trailing edge of the same pulse (see Fig. 3). The same pulse will record in the trigger of repetition 15 a zero arriving at its D-input. In addition, the same impulse again initiates the solution of the problem by both blocks 1, 2. The data recorded in the register 6 is not trusted, since there is one at the output 33 of the repeated count.
Однако, теперь на первый вход логических условий поступает единица, а на второй - нуль, значит оба блока начнут повторное решение задачи, но уже по другим верси м (Б и 0- Если повторное решение задачи дало положительный результат, то к моменту прихода очередного импульса на пр мом выходе первой схемы сравнени 7 вновь будет единица (см.фиг.З), котора :However, now one goes to the first input of the logical conditions, and zero to the second, so both blocks will start the second solution of the problem, but according to other versions (B and 0 - If the second solution of the problem gave a positive result, then by the time the next impulse arrives at the direct output of the first comparison circuit 7, there will again be a unit (see Fig. 3), which:
- вновь запишет данные, но уже достоверные в выходной регистр 6, о достоверности этих данных свидетельствует отсутствие единицы на выходе 33 повторный счет устройства ,- again will record the data, but already reliable in the output register 6, the reliability of these data indicates the absence of a unit at the output 33 of the repeated account of the device,
- в триггер повтора 15 оп ть запишет единицу,- in the retry trigger 15 again writes the unit,
- произведет изменение состо ни одного из триггеров 11-14, 16, 17 в зависимости от состо ни устройства.- make a change in the state of one of the triggers 11-14, 16, 17 depending on the state of the device.
Рассмотрим последний пункт подробнее . Итак, с момента начала повторного счета на V-вход дешифратора 18 поступает единичный потенциал, разреша работу последнего (фиг,2). К моменту прихода очередного (4-го, фиг.З) импульса на входах дешифратора будет вполне определенна комбинаци сигналов, Так, элемент сравнени 7 дает результат межканального сравнени данных при первом и втором просчетах, схемы же 8 и 9 выдают результат сравнени данных, полученных на выходе одного и того же канала, после второго просчета. Возможны восемь различных комбинаций.Consider the last item in more detail. So, from the moment of the start of repeated counting, the unit potential arrives at the V-input of the decoder 18, allowing the latter to work (Fig. 2). By the time of the arrival of the next (4th, FIG. 3) pulse, a completely defined combination of signals will be at the decoder inputs. So, comparison element 7 gives the result of inter-channel comparison of data during the first and second miscalculations, while schemes 8 and 9 give the result of comparing the data received at the output of the same channel, after the second rendering. Eight different combinations are possible.
Перва . Все три элемента сравнени дали отрицательный результат. Невозможно определить достоверна ли информаци хот бы в одном из каналов. Така ситуаци расцениваетс как отказ системы. Очередной тактовый импульс переводит триггер 11 в единичное состо ние, на его вход поступает единица с выхода - 0 дешифратора. Единица с выхода триггера 11, пройд через элемент ИЛИ20, информирует пользовател об отказе системы, поступа на выход 28.First. All three elements of the comparison gave a negative result. It is impossible to determine whether the information is reliable in at least one of the channels. Such a situation is regarded as a system failure. The next clock pulse transfers the trigger 11 to a single state, its input receives a unit from the output - 0 of the decoder. The unit with the trigger output 11, passing through the OR20 element, informs the user about the failure of the system, entering output 28.
Втора . Данные ни в одном из каналов между собой не совпали, но второй счет дал положительный результат при межканальном сравнении. Значит при первом просчете в обоих каналах возникнет сбой. Единица, по вивша с на выходе 1, дешифратора 18, поступит через элемент ИЛИ21 на D-вход триггера 16, выход которого вл етс выходом 30 сбой канала устройства, - информируетс пользователь. Однако, этот сигнал может быть вновь сн т, если при решении очередной задачи такой ситуации не возникнет, тогда на выходе 1 дешифратора вновь будет нуль к моменту прихода синхроимпульса.Second. The data in none of the channels did not coincide with each other, but the second count gave a positive result in inter-channel comparison. So, the first miscalculation in both channels will fail. The unit, which has appeared at the output 1 of the decoder 18, will go through the OR21 element to the D-input of the trigger 16, the output of which is the output 30 of the device channel failure, the user is informed. However, this signal can be removed again, if such a situation does not arise when solving another problem, then at the output 1 of the decoder there will again be zero by the time the clock pulse arrives.
Треть . Межканальное сравнение оба раза дало отрицательный результат, кроме того, первый канал выдал данные, которые не совпали между собой. Следовательно отказал первый канал 1, что и вилось причиной несовпадени данных при первом и втором просчетах. В этом случае к моменту прихода очередного импульса (импульс 6. фиг.З) единица с выхода 2 дешифратора 18, пройд через элемент ИЛИ22, поступает на адресный вход мультиплексора 3. коммутиру тем самым на информационный вход выходного регистра 6 данные с выхода второго канала 2. По очередному импульсу эти данные запишутс в регистр 6. Этот же импульс переведет в единичное состо ние триггер 12, на 1-вход которого поступает единица с выхода 2 дешифратора. Единица с выхода триггера 12 поступает на выход 26 отказ первого канала устройства, информиру пользовател . Кроме того, эта единица посто нно будет поступать на адресный вход мультиплексора 3 через элемент ИЛИ22, так как данные теперь могут поступать только со второго канала. Единица с выхода элемента ИЛИ23 поступает на вход одновибратора, который вырабатывает (через врем т после очередного синхроимпульса , определ емого временами задержки триггера 12 и элемента ИЛИ23) одиночный импульс, который устанавливает триггер повтора 15 в единицу (ведь он осталс после синхроимпульса в нуле - второй просчет также не дал совпадени данных на входе элемента сравнени 7) (см.фиг.З). Кроме того, эта же единица с выхода ИЛИ23A third. Cross-channel comparison both times gave a negative result, in addition, the first channel produced data that did not match. Therefore, the first channel 1 failed, which was the reason for the data mismatch during the first and second miscalculations. In this case, by the time of the arrival of the next pulse (pulse 6. Fig. 3), the unit from the output 2 of the decoder 18, passing through the OR22 element, is fed to the address input of the multiplexer 3. I thereby commute the data from the output of the second channel 2 to the information input of the output register 6 According to the next pulse, this data is written into register 6. The same pulse will trigger the trigger 12 to the single state, to the 1-input of which the unit from the output 2 of the decoder arrives. The unit from the output of the trigger 12 is output 26 failure of the first channel of the device, inform the user. In addition, this unit will constantly arrive at the address input of multiplexer 3 through the OR22 element, since data can now only come from the second channel. The unit from the output of the OR23 element is fed to the input of a single-shot, which generates (after time t after the next clock pulse determined by the delay times of the trigger 12 and the OR23 element) a single pulse, which sets the repeat trigger 15 to unity (after all, it remained after the clock pulse at zero - the second the miscalculation also did not match the data at the input of the comparison element 7) (see Fig. 3). In addition, the same unit from the output OR23
поступает на V-вход триггера повтора 15, перевод его из режима записи в режим счета, а пройд через элемент ИЛИ 24, поступает на 1,К-входы триггера 10, который теперь будет измен ть свое состо ние наarrives at the V-input of the trigger of repeat 15, transferring it from the recording mode to the counting mode, and after passing through the OR element 24, it goes to 1, K-inputs of the trigger 10, which will now change its state to
противоположное по каждому синхроимпульсу (как и триггер повтора 15), ведь теперь дл выдачи достоверных данных,, необходимо каждую задачу просчитывать два раза по двум различным программнымthe opposite for each clock pulse (as well as the trigger for retry 15), because now to produce reliable data, it is necessary to calculate each task twice in two different software
верси м, что теперь и будут обеспечивать триггер повтора 15 и триггер 10 до тех пор, пока не откажет и другой канал.versions of m, which will now provide a retry trigger 15 and trigger 10 until another channel fails.
Четверта , шеста . Эти две ситуации идентичны второй с той лишь разницей, чтоFourth, pole. These two situations are identical to the second with the only difference being that
сбой при первом просчете задачи произошел в одном из каналов (см. фиг.2).a failure during the first miscalculation of the task occurred in one of the channels (see figure 2).
П та . Аналогична третьей, отличие состоит лишь в том, что сигнал на адресном входе мультиплексора сохран ет свой потенциал .P that. Similar to the third, the only difference is that the signal at the address input of the multiplexer retains its potential.
Седьма , Така комбинаци результатов сравнени также оцениваетс как отказ системы в целом, так как не сны причины межканального несовпадени данных после обоих просчетов одной задачи при том. что локальное сравнение дало положительный результат. Причин может быть несколько: константна неисправность (например, такой отказ шины данных блока, при котором на ней только нули) ЭВМ 1. 2, или отказ первого схемы сравнени 7, или отказы всех элементов сравнени . В любом из этих случаев дальнейшее функционирование устройства не обеспечивает выдачу достоверных данных. Така ситуаци фиксируетс очередным тактовым импульсом в триггере 14, единица с выхода которого через элемент ИЛЙ20 поступает на выход 28Seventh, This combination of comparison results is also evaluated as a failure of the system as a whole, since there are no clear reasons for the cross-channel data mismatch after both miscalculations of the same task. that a local comparison gave a positive result. There may be several reasons: a constant malfunction (for example, such a failure of the data bus of the block with only zeros on it) of the computer 1. 2, or the failure of the first comparison circuit 7, or the failures of all the comparison elements. In any of these cases, the further operation of the device does not provide reliable data. This situation is recorded by the next clock pulse in the trigger 14, the unit from the output of which through the element ILY20 goes to the output 28
отказ системы устройства.device system failure.
Восьма . В этом случае, очевидно, произошел сбой в системе контрол , т.е. схема 7 при сравнении результатов версий А и В (или Б и Г) дал отрицательный результат,Eight. In this case, obviously, there was a failure in the control system, i.e. Scheme 7 when comparing the results of versions A and B (or B and D) gave a negative result,
хот после второго счета задачи все три схемы сравнени 7, 8, 9 дали положительный результат, Эта ситуаци также фиксируетс D-триггером 17 по очередному тактовому импульсу. Если при решении следующей задачи эта ситуаци не повторитс , то этот триггер обнулитс .although after the second count of the task, all three comparison schemes 7, 8, 9 gave a positive result, this situation is also fixed by the D-flip-flop 17 at the next clock pulse. If, in solving the following problem, this situation is not repeated, then this trigger will be reset.
Дев та . Этот случай соответствует ситуации , когда при первом решении задачи данные на выходах резервируемых блоковDev that. This case corresponds to the situation when, at the first solution to the problem, the data at the outputs of the reserved blocks
совпали (на V-входе дешифратора нуль), состо ние двух других элементов сравнени безразлично (X), на всех выходах дешифратора 18 нулевые потенциалы, если до этого не был признан отказавшим первый канал (триггер 12 в нуле), то на адресный вход мультиплексора 3 поступает нулевой потенциал .coincided (at the V-input of the decoder is zero), the state of the other two comparison elements is indifferent (X), at all outputs of the decoder 18 there are zero potentials, if the first channel was not recognized to have failed (trigger 12 at zero), then the multiplexer’s address input 3 comes zero potential.
Оценим технико-экономическое преимущество предлагаемого изобретени по отношению к прототипу.Let us evaluate the technical and economic advantage of the invention in relation to the prototype.
Выражение дл веро тности необнаружени отказа устройства-прототипа PI имеет вид:The expression for the probability of non-detection of failure of the PI prototype device is:
Pi Pa + Рд.п.Pi Pa + Rd.p.
где Ра - веро тность необнаружени встроенными средствами контрол отказа блока за врем Т, Рд.п. - веро тность про влени ошибки в программном обеспечении за это же врем Т.where Ra is the probability of non-detection by built-in means of monitoring the failure of the block during time T, Rd.p. - the probability of an error in the software during the same time T.
Заметим, что ошибки в программном обеспечении (дефекты проектировани (ДП) можно разделить на относительные и абсолютные (ОДП и АДП). Первые из них можно вывить, сравнива результаты решени одной задачи по различным программным верси м, что и делаетс в предлагаемом изобретении. Вторые же таким способом вы вить нельз .Note that software errors (design defects (DPs) can be divided into relative and absolute (ODP and ADP). The first of them can be verified by comparing the results of solving one problem with different software versions, which is done in the present invention. Second but in this way you cannot express.
Итак, веро тность необнаружени отказа в предлагаемом изобретении определ етс выражением:So, the probability of failure detection in the present invention is determined by the expression:
Pll Рд.п.(Pll Rd.p. (
АAND
А +0A +0
))
где А - число АДП, про вившихс за врем Т. О - число ОДП, про вившихс за врем Т.where A is the number of ADPs that appeared during time T. O is the number of ADPs that appeared during time T.
Веро тность необнаруживаемого отказа аппаратных средств считаем равной нулю , так как в отличие от прототипа, где этим занимаютс встроенные средства контрол , в предлагаемом устройстве реализуетс поразр дное сравнивание данных. Т.о., чтобы аппаратный дефект осталс не вы вленным, он должен одинаково и одновременно про витьс в обоих блоках, которые при этом решают задачу по различным программным верси м. Веро тность такого событи ничтожно мала.The probability of an undetectable hardware failure is assumed to be zero, since, in contrast to the prototype, where the built-in control tools do this, the proposed device implements bitwise data comparison. Thus, in order for a hardware defect to remain undetected, it must equally and simultaneously occur in both blocks, which at the same time solve the problem using different software versions. The probability of such an event is negligible.
Кроме того, известно, что дол ОДП составл ет пор дка 70% от общего количества ДП, которое примерно в два раза превышает количество физических отказов.In addition, it is known that the share of NDC is on the order of 70% of the total number of DPs, which is approximately two times higher than the number of physical failures.
рR
v4v4
v4,v4,
55
Q Q
c о c about
55
0 0
5 0 fifty
55
Pi + 2 (0,7 - 0,3) 3 -.10Л Рц 2 -0,3 0,6-10Pi + 2 (0.7 - 0.3) 3 -10L RC 2 -0.3 0.6-10
Следовательно, веро тность просачивани ошибочных данных на выход предлагаемого устройства п ть раз меньше, чем у устройства-п рототи паTherefore, the probability of leakage of erroneous data to the output of the proposed device is five times less than that of the device
ДР Р|/Рц 3/0,6 5.DR R | / Rc 3 / 0.6 5.
Таким образом, техническое преимущество предлагаемого изобретени по отношению к прототипу состоит в увеличении надежности путем введени поразр дного сравнени данных, полученных при решении одной и той же задачи по различным программным верси м.Thus, the technical advantage of the present invention with respect to the prototype is to increase reliability by introducing bitwise comparisons of the data obtained when solving the same problem for different software versions.
Достоверность достижени цели подтверждаетс приведенными выше расчетами .The reliability of the achievement of the goal is confirmed by the above calculations.
Claims (1)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SU4886698 RU1815641C (en) | 1990-12-04 | 1990-12-04 | Device for test and reconfiguration of redundant system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SU4886698 RU1815641C (en) | 1990-12-04 | 1990-12-04 | Device for test and reconfiguration of redundant system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU1815641C true RU1815641C (en) | 1993-05-15 |
Family
ID=21547632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| SU4886698 RU1815641C (en) | 1990-12-04 | 1990-12-04 | Device for test and reconfiguration of redundant system |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU1815641C (en) |
-
1990
- 1990-12-04 RU SU4886698 patent/RU1815641C/en active
Non-Patent Citations (1)
| Title |
|---|
| Каган Б.М.. Мкртум н И.Б . Основы эксплуатации ЭВМ. М.: Энергоиздат. 1988. с.153, рис. 5.19а. Авторское свидетельство СССР N 1390612,кл. G 06 F11/16. 1988. Лихонинский В.Г. Организаци сдвоенного дублировани при вычислении логических функций на микроЭВМ, - Приборы и системы управлени . 1987, N° 1. * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6141769A (en) | Triple modular redundant computer system and associated method | |
| US4785453A (en) | High level self-checking intelligent I/O controller | |
| US4375683A (en) | Fault tolerant computational system and voter circuit | |
| EP0363863B1 (en) | Method and apparatus for fault recovery in a digital computing system | |
| EP2013733B1 (en) | Error filtering in fault tolerant computing systems | |
| US4015246A (en) | Synchronous fault tolerant multi-processor system | |
| EP0514075A2 (en) | Fault tolerant processing section with dynamically reconfigurable voting | |
| US7590885B2 (en) | Method and system of copying memory from a source processor to a target processor by duplicating memory writes | |
| US5784383A (en) | Apparatus for identifying SMP bus transfer errors | |
| US5905875A (en) | Multiprocessor system connected by a duplicated system bus having a bus status notification line | |
| US6055660A (en) | Method for identifying SMP bus transfer errors | |
| RU1815641C (en) | Device for test and reconfiguration of redundant system | |
| US3909782A (en) | Method and device for control of the transmission of data exchanged between a control processor and a plurality of peripheral devices | |
| WO1997043712A2 (en) | Triple modular redundant computer system | |
| JPH05313930A (en) | Highly reliable information processor | |
| US6765932B1 (en) | Method and apparatus for synchronizing a data stream | |
| US20200319952A1 (en) | Clock fractional divider module, image and/or video processing module, and apparatus | |
| RU1807489C (en) | Device for inspecting and reconfigurating duplicated system | |
| US5471487A (en) | Stack read/write counter through checking | |
| RU1833877C (en) | Stand-by device | |
| SU1727125A1 (en) | Device for operative reconfiguration of engaged system | |
| RU1819116C (en) | Three-channel redundant system | |
| SU1365086A1 (en) | Device for checking control units | |
| JPS6227814A (en) | Fault detection circuit | |
| SU1275442A1 (en) | Microprogram control device |